Oggi è difficile ignorare gli attacchi ransomware. Secondo l'Internet Crime Report dell'FBI, le denunce locali di tali minacce sono aumentate del 20% nel 2020. A livello globale, gli attacchi sono aumentati di oltre il 60% tra il 2019 e il 2020. Gli attacchi ransomware non solo sono in aumento, ma stanno anche diventando più evidenti.
Non lasciate che il ransomware si impossessi del vostro dispositivo
Assicuratevi che il vostro dispositivo sia protetto dal ransomware.
Provate Malwarebytes Premium gratuitamente per 14 giorni.
Dagli oleodotti agli ospedali, passando per le scuole, le banche e gli enti di beneficenza, sembra che nessuna organizzazione sia immune dagli attacchi ransomware. Non sono solo le grandi aziende a soffrire di queste violazioni della sicurezza informatica. Anche le piccole imprese sono bersaglio del ransomware e possono avere maggiori difficoltà a sopravvivere, poiché di solito hanno meno risorse delle grandi aziende per recuperare.
Mentre l'attacco globale WannaCry si è verificato nel 2017, negli anni successivi sono emersi molti altri tipi di ransomware. Diamo un'occhiata a WannaCry e al motivo per cui è stato un incidente informatico così significativo.
Che cos'è stato l'attacco ransomware WannaCry?
"Ooops, i vostri file sono stati criptati!".
Nel maggio 2017, il ransomware WannaCry si è diffuso a livello globale attraverso i computer che eseguono Windows. Quasi due mesi prima, Microsoft aveva rilasciato una patch di sicurezza per EternalBlue, l'exploit utilizzato dagli aggressori per propagare il ransomware WannaCry. Tuttavia, molti utenti di Windows in tutto il mondo non avevano aggiornato il proprio software o utilizzavano versioni non aggiornate di Windows, e quindi erano vulnerabili all'attacco su larga scala.
Gli aggressori di WannaCry hanno criptato Windows computer in tutto il mondo e hanno chiesto un riscatto inizialmente di 300 dollari in Bitcoin, poi di 600 dollari. Si stima che abbia infettato 230.000 computer in 150 Paesi in poche ore. Dopo essersi inizialmente diffuso rapidamente in tutto il mondo, il ricercatore di sicurezza Marcus Hutchins ha scoperto un kill switch che ha rallentato significativamente la diffusione dell'attacco.
Mappa di calore delle infezioni da ransomware WannaCry
Perché WannaCry ha avuto così tanto successo?
I ransomware come WannaCry funzionano tipicamente criptando i file o bloccando il sistema. Poi richiede il pagamento sotto forma di criptovaluta come il Bitcoin, perché queste valute sono più complesse da rintracciare rispetto ai trasferimenti di denaro elettronico, agli assegni o al freddo contante. Tuttavia, WannaCry presenta alcune caratteristiche che lo rendono diverso da un tipico attacco ransomware di cui si legge oggi.
I cybergang utilizzano solitamente ceppi di ransomware puri per attacchi mirati. Pensate a un arco e a una freccia invece che a una catapulta. Il primo è più adatto a colpire un bersaglio alla volta, mentre il secondo è migliore per colpire più bersagli. Ad esempio, il malware e la banda criminale dietro l'attacco ransomware Colonial Pipeline si sono apparentemente concentrati su un solo obiettivo. Per piazzare il ransomware DarkSide, la banda ha apparentemente sfruttato una password nota per un account di Virtual Private Network (VPN) legacy.
D'altra parte, WannaCry è stato più che altro una catapulta. È stato all'altezza del suo nome, infettando centinaia di migliaia di computer in oltre 150 Paesi in poche ore. Non ha fatto prigionieri, colpendo rapidamente tutti i tipi di sistemi attraverso le reti aziendali. Perché la diffusione del ransomworm WannaCry è stata così capillare e di successo?
1. Componente del verme
Un worm è un tipo di malware che può eliminare file, consumare larghezza di banda e diffondersi rapidamente senza bisogno di un file host. Si autopropaga, il che significa che, a differenza di un virus, non ha bisogno dell'attivazione umana per iniziare la sua attività dannosa. Inoltre, i worm possono rilasciare malware come i ransomware. WannaCry ha colpito a macchia d'olio i PC di Windows grazie alla sua componente worm.
2. Sfruttamenti
Un exploit è una vulnerabilità di sistema non patchata che un criminale informatico può sfruttare per attività dannose. La falla sfruttata da WannaCry riguarda il modo in cui Windows gestisce il protocollo SMB (Server Message Block). In poche parole, il protocollo SMB permette ai nodi di rete di comunicare. Sebbene Microsoft abbia patchato le vulnerabilità nel 2017, gli attori delle minacce utilizzano le vulnerabilità SMB ancora oggi per attacchi Trojan e ransomware, perché molti utenti di Windows non aggiornano download .
Quali sono i settori più colpiti da WannaCry?
L'attacco WannaCry si è diffuso così rapidamente e ha infettato così tanti computer in tutto il mondo che sono stati colpiti molti settori. Tra questi vi sono:
- Assistenza sanitaria
- Emergenza
- Security
- Logistica
- Telecom
- Gas
- Benzina
- Automotive
- Istruzione
- Pubblicità
Quanti computer ha infettato WannaCry?
Si stima che WannaCry abbia colpito circa 230.000 computer. Il malware ha colpito le attività di ospedali, servizi di emergenza, stazioni di servizio e persino fabbriche. Secondo alcune stime, il costo finanziario dell'attacco ammonta a miliardi.
Chi ha creato WannaCry?
Gli Stati Uniti incolpano ufficialmente la Corea del Nord per l'attacco WannaCry e hanno persino incriminato tre nordcoreani per il malware e l'hacking della Sony Pictures Entertainment del 2014. È interessante notare che anche la NSA (National Security Agency) potrebbe aver svolto un ruolo nell'attacco WannaCry, anche se inavvertitamente.
L'NSA avrebbe scoperto la vulnerabilità SMB sfruttata da WannaCry. In seguito, il cosiddetto strumento di sfruttamento EternalBlue sarebbe stato rubato dall'organizzazione di intelligence e divulgato da The Shadow Brokers (TSB), un gruppo di hacker.
WannaCry è ancora una minaccia?
WannaCry è una minaccia minore in gran parte grazie all'eroismo di Marcus Hutchins. Il ricercatore britannico di sicurezza informatica ha sviluppato un kill switch utilizzando l'ingegneria inversa e le honeypots che hanno impedito a WannaCry di essere eseguito ulteriormente. Inoltre, un team di ricercatori francesi ha trovato un modo per decriptare alcuni computer colpiti senza pagare un riscatto.
Tuttavia, WannaCry è ancora attivo. Assicuratevi di aggiornare regolarmente il sistema operativo Windows per assicurarvi di avere le ultime patch di sicurezza. Potete anche affidarvi alla tecnologia anti-malware intelligente di Malwarebytesper rilevare e rimuovere Ransom.WannaCrypt in modo proattivo.
Cosa fa WannaCry se non viene pagato?
WannaCry chiede 300 dollari in Bitcoin dopo aver bloccato un sistema. In seguito, raddoppia la tariffa di estorsione. Minaccia inoltre di cancellare definitivamente i dati entro tre giorni. Noi di Malwarebytes consigliamo di non pagare le bande di ransomware, in parte perché ciò incoraggia altre bande di ransomware alla ricerca di un modo rapido per arricchirsi. Inoltre, non c'è alcuna garanzia di sbloccare i file o il computer. Ad esempio, non tutte le vittime di WannaCry hanno riavuto i loro file dopo aver pagato la tariffa, forse a causa di un difetto del ransomware stesso.
Quali sono alcune buone strategie di mitigazione del ransomware?
Per i dispositivi utilizzati a casa, utilizzare un software antivirus/anti-malware che difenda da tutti i tipi di software dannoso, compresa la protezione da ransomware. Per le aziende, le strategie per mitigare il ransomware includono:
- Utilizzate un software di sicurezza informatica in grado di rilevare e bloccare le minacce ransomware.
- Eseguite frequentemente il backup dei dati e fate un air gap dei backup critici.
- Segmentare la rete.
- Bloccate gli exploit controllando regolarmente gli aggiornamenti di sicurezza.
- Diffidate dei vettori di minacce ransomware come le e-mail di phishing.
- Impostate password complesse e cambiatele periodicamente.
- Proteggete il vostro sistema e gli account essenziali con l'autenticazione a due fattori.
Malwarebytes anti-ransomware per le aziende
Malwarebytes Endpoint Detection and Response offre opzioni di risposta che vanno oltre i semplici avvisi, tra cui Linking Engine Remediation e Ransomware Rollback.
Articoli su WannaCry da Malwarebytes Labs
- Microsoft rilascia una patch per prevenire la vulnerabilità del "livello WannaCry".
- I file delle minacce persistenti avanzate: Gruppo Lazarus
- Come gli attori delle minacce utilizzano le vulnerabilità SMB
- Tutta questa storia di EternalPetya mi fa venire in mente WannaCry.
- Minaccia mobile del lunedì: Falso scanner WannaCry
- Volete decriptare i vostri file? La soluzione WannaCry, per alcuni
- Come si è diffuso il ransomworm WannaCry?
- Volete piangere ancora un po'? Edizione speciale della raccolta dei ransomware
- Il worm che diffonde WanaCrypt0r